blog

  • 01
    11

    เตือน Gmail Phishing แบบใหม่ ต่อให้คุ้นเคยกับ IT ก็อาจตกเป็นเหยื่อ

    นักวิจัยด้านความมั่นคงปลอดภัยหลายท่านออกมาเตือนถึงแคมเปญ Phishing รูปแบบใหม่ ที่พุ่งเป้ามายังผู้ใช้ Gmail ซึ่งมีเทคนิคการหลอกลวงที่แนบเนียน ถึงขั้นที่ต่อให้เป็นผู้ที่คุ้นเคยกับ IT หรือพอมีความรู้ทางด้านความมั่นคงปลอดภัยยังอาจจะตกเป็นเหยื่อ ถูกหลอกส่งข้อมูลรหัสผ่านให้แก่แฮ็คเกอร์

    ก่อนเริ่มโจมตี แฮ็คเกอร์จำเป็นต้องแฮ็คเข้า Gmail Account ของเหยื่อรายหนึ่งก่อน จากนั้นแฮ็คเกอร์จะเริ่มค้นหาอีเมลในกล่องข้อความเพื่อค้นหาเป้าหมายที่จะโจมตีถัดๆ ไป โดยพิจารณาจากไฟล์แนบและหัวข้อที่เหยื่อเคยส่งให้คนอื่นว่าจะสอดคล้องกับการโจมตี (Phishing) ของตนหรือไม่

    เมื่อพบเป้าหมายแล้ว แฮ็คเกอร์จะถ่ายรูปหน้าจอของไฟล์แนบนั้นๆ แล้วแนบรูปดังกล่าวส่งกลับไปยังผู้ส่ง (ซึ่งจะเป็นเป้าหมายใหม่ของแฮ็คเกอร์) โดยใช้ชื่อหัวข้อเดียวกันหรือคล้ายกัน เพื่อให้ระบบของ Gmail ไม่สงสัยหรือแจ้งเตือนความผิดปกติ ที่สำคัญคือ เหยื่อรายใหม่ (ผู้รับอีเมล) มีแนวโน้มว่าจะถูกหลอกได้ง่ายเนื่องจากเป็นอีเมล Phishing ที่ถูกส่งมาโดยคนรู้จัก

    Gmail Phishing นี้จะใช้ประโยชน์จากรูปภาพที่ปลอมเหมือนเป็นไฟล์แนบ PDF เมื่อเหยื่อ (ผู้รับอีเมล)​ เผลอคลิกเพื่อดูเนื้อหาของไฟล์แนบ เหยื่อจะถูกส่งไปยังเว็บ Phishing ซึ่งปลอมให้เหมือนหน้าล็อกอินของ Gmail ราวกับว่าเหยื่อจะต้องล็อกอินใหม่เพื่อเปิดอ่านไฟล์แนบ ที่น่าสนใจคือ URL ด้านบนไม่ได้มีสีแดงแจ้งเตือนว่าหน้าเว็บที่กำลังเข้าถึงไม่มั่นคงปลอดภัย และส่วนหนึ่งของ URL ยังประกอบด้วย Subdomain ของ Google คือ accounts.google.com อีกด้วย เท่านี้ก็เพียงพอต่อการหลอกคนส่วนใหญ่ให้เชื่อว่าเว็บไซต์ที่ตนกำลังเข้าอยู่เป็นหน้าเว็บของ Google จริง

    ถ้าเหยื่อเผลอกรอกข้อมูลชื่อผู้ใช้และรหัสผ่านลงไปหน้าเว็บปลอมดังกล่าว ข้อมูลทั้งหมดจะถูกส่งไปยังแฮ็คเกอร์ทันที แล้วแฮ็คเกอร์ก็จะนำข้อมูลเหล่านั้นไปล็อกอินเข้าใช้ Gmail ต่อ เพื่อหาเหยื่อรายถัดๆ ไป

    “เทคนิค Phishing นี้ใช้สิ่งที่เรียกว่า ‘Data URI’ เพื่อใส่ไฟล์เข้าไปยัง Location Bar ของเบราเซอร์ เมื่อคุณมองดูที่ Location Bar นั้น จะเห็นคำว่า ‘data:text/html…’ ซึ่งจริงๆ แล้ว [ไม่ใช่ URL ปกติ แต่] เป็นข้อความที่ยาวมาก” — Mark Maunder, CEO ของ WordFence ชี้แจง

    วิธีป้องกัน Gmail Phishing นี้ทำได้ง่ายมาก เพียงแค่เปิดใช้งานการพิสูจน์ตัวตนแบบ 2-Factor Authentication เท่านั้น และพยายามระมัดระวังการเปิดไฟล์แนบ และตรวจสอบ URL ให้ดีก่อนที่จะกรอกข้อมูลรหัสผ่านใดๆ

    สำหรับท่านที่สนใจหรือต้องการข้อมูลใดเพิ่มเติม สามารถติดต่อ Proofpoint distributor in thailand : info@infosec.co.th

    ที่มา: http://thehackernews.com/2017/01/gmail-phishing-page.html

  • 26
    01

    พบมัลแวร์ Ploutus สายพันธุ์ใหม่ โจมตีตู้ ATM ในอเมริกา

    มัลแวร์ Ploutus ถูกค้นพบครั้งแรกในเม็กซิโกเมื่อปี 2556 เป็นมัลแวร์ที่โจมตีตู้ ATM ใช้วิธีการแพร่กระจายผ่านทางแผ่นซีดี ผู้ประสงค์ร้ายสามารถขโมยเงินจากตู้ ATM ที่ติดมัลแวร์ได้ผ่านการเชื่อมต่อคีย์บอร์ดหรือส่งรหัสถอนเงินมาทาง SMS

    เมื่อวันที่ 11 มกราคม 2560 บริษัท FireEye ได้แจ้งเตือนการค้นพบมัลแวร์ Ploutus สายพันธุ์ใหม่ (Ploutus-D) โดยเน้นโจมตีตู้ ATM ที่ใช้ซอฟต์แวร์ Kalignite ของบริษัท KAL ซึ่งเป็นซอฟต์แวร์ที่นิยมใช้ในตู้ ATM กว่า 40 ยี่ห้อใน 80 ประเทศ หลังจากที่ตู้ ATM ติดมัลแวร์ ผู้ประสงค์ร้ายสามารถเปิดด้านบนของตู้ ATM (อาจจะได้กุญแจมาจากเจ้าหน้าที่ธนาคารหรือสะเดาะกุญแจ) แล้วเชื่อมต่อคีย์บอร์ดเพื่อเข้าไปสั่งถอนเงินได้

    ตัวมัลแวร์เวอร์ชันที่ทาง FireEye ได้ทำการวิเคราะห์นั้นถูกตั้งค่าให้โจมตีตู้ ATM ยี่ห้อ Diebold โดยเฉพาะ มัลแวร์มีความสามารถในการปิดการทำงานของโปรแกรมรักษาความปลอดภัยที่ติดตั้งอยู่ในระบบ โค้ดที่ใช้สำหรับสั่งถอนเงินถูกกำหนดไว้แล้วและมีอายุการใช้งานแค่ 24 ชั่วโมง ไม่มีความสามารถในการขโมยข้อมูลจากบัตร ATM ที่ถูกนำมาเสียบเข้ากับตู้ (เน้นขโมยเงินจากตู้เท่านั้น) ปัจจุบันพบการแพร่ระบาดแล้วในอเมริกา

    ผู้ที่สนใจสามารถศึกษาข้อมูลรายละเอียดเพิ่มเติมของมัลแวร์ได้จากเว็บไซต์ของ FireEye

  • 26
    01

    FireCrypt: Ransomware ตัวใหม่ มาพร้อมกับโมดูล DDoS

    MalwareHunterTeam ออกมาเปิดถึง Ransomware ตัวใหม่ ชื่อว่า FireCrypt ซึ่งนอกจากจะเข้ารหัสไฟล์ข้อมูลของเหยื่อแล้ว ยังพยายามโจมตีแบบ DDoS ไปยังเป้าหมาย URL ที่ได้ Hardcode ไว้ในซอร์สโค้ดอีกด้วย

    จากการตรวจสอบโดย Bleeping Computer พบว่า FireCrypt Ransomware ถูกออกแบบโดยแฮ็คเกอร์ที่มีประสบการณ์ในการเขียนมัลแวร์ โดยใส่คุณสมบัติ Polymorphic ส่งผลให้ซอฟต์แวร์แอนตี้ไวรัสตรวจจับ Ransomware ได้ยากขึ้น FireCrypt แพร่กระจายตัวผ่านทางไฟล์ EXE เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว FireCrypt จะปิดการทำงาน Task Manager (taskmgr.exe) และเริ่มเข้ารหัสไฟล์รวม 20 ประเภท เช่น ไฟล์เอกสาร รูปภาพ และเพลง โดยใช้อัลกอริธึมเข้ารหัสข้อมูลแบบ AES จากนั้นต่อท้ายไฟล์ด้วยนามสกุล “.firecrypt”

    หลังจากเข้ารหัสเสร็จเรียบร้อย FireCrypt จะแสดงหน้าจอเรียกค่าไถ่ดังรูปด้านล่าง จากการตรวจสอบพบว่า ข้อความเรียกค่าไถ่ดังกล่าวเหมือนกับ Ransomware ที่ชื่อว่า “Deadly for a Good Purpose” ที่ค้นพบเมื่อเดือนตุลาคม 2016 ต่างกันตรงแค่ FireCrypt ไม่มีโลโก้ด้านบน อย่างไรก็ตาม เมื่อดูซอร์สโค้ดภายใน พบว่า Ransomware ทั้งสองใช้อีเมลและชื่อบัญชี Bitcoin เดียวกัน จึงเป็นไปได้สูงมากว่า Deadly for a Good Purpose ถูกปรับปรุงและเปลี่ยนชื่อใหม่เป็น FireCrypt

    นอกจากเข้ารหัสไฟล์ข้อมูลแล้ว ซอร์สโค้ดของ FireCrypt ยังประกอบด้วยฟังก์ชันที่จะคอยเชื่อมต่อกับ URL ของสำนักงานโทรคมนาคมแห่งชาติปากีสถาน (http://www.pta.gov.pk/index.php) ตลอดเวลา เพื่อทำการดาวน์โหลด Content และบันทึกลงบนฮาร์ดดิสก์ภายในโฟลเดอร์ %Temp% โดยตั้งชื่อว่า [RANDOM_CHARS]-{CONNECT_NUMBER].html ส่งผลให้โฟลเดอร์ %Temp% ของเหยื่อจะมีไฟล์ขยะโผล่ขึ้นมาเป็นจำนวนมาก

    แฮ็คเกอร์ผู้พัฒนา FireCrypt เรียกฟีเจอร์นี้ว่า “DDoSer” แต่อาจจำเป็นต้องแพร่มัลแวร์ไปยังคอมพิวเตอร์หลายพันเครื่องแล้วสั่งโจมตีพร้อมกันถึงจะรุนแรงพอที่จะทำให้เว็บไซต์ของสำนักโทรคมนาคมหยุดชะงักการให้บริการได้

    จนถึงตอนนี้ยังไม่มีโปรแกรม Decrypter สำหรับถอดรหัสข้อมูลของ FireCrypt แต่อย่างใด

    ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/firecrypt-ransomware-comes-with-a-ddos-component/

  • 26
    01

    เตือน KillDisk Ransomware หลอกเรียกค่าไถ่เกือบ 8,000,000 บาท แต่ไม่ปลดรหัสไฟล์ให้

    FBI เคยให้คำแนะนำว่า เหยื่อควรจ่ายค่าไถ่ถ้าต้องการได้ไฟล์กลับคืนมา ถ้าไม่ได้สำรองข้อมูลไว้ … อย่างไรก็ตาม ไม่ได้สิ่งใดการันตีว่าถ้าจ่ายค่าไถ่ไปแล้ว แฮ็คเกอร์จะปลดรหัสไฟล์ให้จริง สิ่งยืนยันมีเพียงความเชื่อใจระหว่างเหยื่อกับแฮ็คเกอร์เท่านั้น … ซึ่งใช้ไม่ได้ผลกับ KillDisk Ranswomare

    KillDisk เดิมทีเป็นมัลแวร์สำหรับล้างข้อมูลบนอุปกรณ์คอมพิวเตอร์ ซึ่งก่อนหน้านี้เคยถูกใช้เพื่อก่อวินาศกรรมบริษัทหลายแห่งโดยการสุ่มลบไฟล์ออกจากเครื่องเซิร์ฟเวอร์ นอกจากนี้ KillDisk ยังมีความเชื่อมโยงกับมัลแวร์ Black Enerfy ที่เข้าโจมตีโรงไฟฟ้าในประเทศยูเครนเมื่อช่วงปี 2015 มาแล้ว ส่งผลให้ประชาชนหลายพันคนไม่มีไฟฟ้าใช้งานช่วงระยะเวลาหนึ่ง

    อย่างไรก็ตาม นักวิจัยด้านความมั่นคงปลอดภัยจาก ESET ผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดัง ได้ออกมาแจ้งเตือนว่า KillDisk ได้กลับมาแพร่กระจายตัวอีกครั้งแล้ว แต่เป็นสายพันธุ์ใหม่ที่รวมคุณสมบัติของ Crypto-ransomware เข้ามาด้วย คือมีทั้งการลบไฟล์แบบสุ่มและเข้ารหัสไฟล์ข้อมูล โดยพุ่งเป้าที่คอมพิวเตอร์และเซิร์ฟเวอร์ที่ใช้ระบบปฏิบัติการ Windows และ Linux

    ที่น่าตกใจคือ KillDisk เรียกค่าไถ่สูงถึง 222 Bitcoins หรือประมาณ 8,000,000 บาท ซึ่งเรียกได้ว่าเป็นค่าไถ่ที่สูงที่สุดในโลกตอนนี้ และถ้าเหยื่อไม่จ่ายค่าไถ่ KillDisk จะทำการลบไฟล์บนอุปกรณ์ไปเรื่อยๆ จนหมด

    ที่แย่กว่านั้นคือ KillDisk Ransomware บน Linux ไม่มีการเก็บข้อมูลกุญแจเข้ารหัสไปบนเครื่องของเหยื่อหรือ C&C Server แต่อย่างใด นั่นหมายความว่า ต่อให้เหยื่อจ่ายค่าไถ่จำนวนมหาศาลขนาดนั้นไปแล้ว เหยื่อก็จะไม่ได้รับกุญแจสำหรับปลดรหัสไฟล์ข้อมูลแต่อย่างใด

    ข่าวดีคือ ESET พบช่องโหว่ของกระบวนเข้ารหัสของ KillDisk บน Linux ซึ่งช่วยให้สามารถถอดรหัสไฟล์ข้อมูลกลับคืนมาได้ แต่ก็ทำได้ยากมาก และช่องโหว่นี้ไม่ได้ปรากฏบน KillDisk บน Windows แต่อย่างใด อย่างไรก็ตาม แนะนำให้ผู้ใช้ทุกคนสำรองข้อมูลเป็นประจำเพื่อหลีกเลี่ยงปัญหาดังกล่าว

    ที่มา: http://thehackernews.com/2017/01/linux-ransomware-malware.html

  • 06
    10

    เตรียมระวัง ATM skimming รูปแบบใหม่ ขโมยลายนิ้วมือ

    เทคนิค ATM skimming แบบเดิมนั้นจะเป็นการใช้อุปกรณ์ไปติดตั้งครอบทับเครื่องอ่านบัตรเพื่อทำสำเนาข้อมูลแถบแม่เหล็กมาสร้างเป็นบัตรใหม่ จากนั้นติดตั้งกล้องไว้บันทึกวิดีโอตอนผู้ใช้กดรหัสบัตรหรือติดตั้งแผงคีย์บอร์ดปลอมทับของเดิมเพื่อบันทึกการกดปุ่ม ปัจจุบันธนาคารเริ่มเปลี่ยนมาใช้บัตรแบบ EMV หรือ Chip-and-PIN ซึ่งทำให้การโจมตีลักษณะนี้ทำได้ยากขึ้นแล้ว

    อย่างไรก็ตาม ปัจจุบันธนาคารหลายแห่งได้พยายามพัฒนาวิธีการยืนยันตัวตนรูปแบบใหม่เพื่อนำมาใช้แทนการอ่านบัตรแบบเดิม โดยจะใช้ข้อมูลการตรวจพิสูจน์บุคคล (biometrics) เช่น ลายนิ้วมือ เสียง หรือสแกนม่านตา เพื่อใช้ในการยืนยันการทำธุรกรรมทางการเงิน

    เมื่อปลายเดือนกันยายน 2559 บริษัท Kaspersky ได้รายงานการค้นพบการวางจำหน่ายอุปกรณ์ขโมยลายนิ้วมือ สำหรับนำไปใช้ติดตั้งเป็นเครื่อง skimmer ในตู้ ATM ที่รองรับการยืนยันตัวตนด้วยลายนิ้วมือ โดยพบว่าในแหล่งซื้อขายใต้ดินมีผู้จำหน่ายอุปกรณ์ประเภทนี้ถึง 12 เจ้า อย่างไรก็ตาม ตัวอุปกรณ์ที่ประกาศขายนั้นยังเป็นเครื่องต้นแบบอยู่ ใช้การส่งข้อมูลผ่านเครือข่าย GSM ซึ่งมีปัญหาคือยังส่งข้อมูลได้ปริมาณน้อย แต่คาดว่าเวอร์ชันถัดไปอาจทำได้ดีกว่านี้

    ปัญหาการขโมยข้อมูลเอกลักษณ์บุคคลเพื่อใช้ในการสวมรอยทำธุรกรรมทางการเงินนั้นมีแนวโน้มที่จะเพิ่มสูงขึ้นตามเทคโนโลยีการยืนยันตัวตนที่เปลี่ยนแปลงไป ทางธนาคารและผู้ใช้บริการควรต้องติดตามข่าวสารอย่างสม่ำเสมอ

    เครดิต : เนื้อหาและภาพจาก https://www.thaicert.or.th/newsbite/2016-10-03-02.html#2016-10-03-02

1 2 3 4 5 6 7 8 9